Világszerte növekszik a LockBit 2.0 Ransomware támadások száma
A biztonsági kutatók felfedezték, hogy a LockBit ransomware legújabb verzióját használva támadásokat tapasztaltak, új áldozatokkal Dél -Amerikában, Ázsiában és Európában.
Korábban lefedtük a LockBit 2.0 támadást, amely sikeresen célba vette az óriási Accenture tanácsadó céget, egyes elemzők szerint a fenyegető szereplők állítólag 50 millió dollár váltságdíjat kértek, és állítólag körülbelül 6 TB érzékeny Accenture -adatot loptak el. A tanácsadó cég kijelentette, hogy a támadásnak nem volt jelentős hatása, a rendszereket gyorsan lezárták és a hatás minimális volt, az adatok sikeresen helyreálltak a biztonsági mentésekből.
Az új támadások az Accenture elleni váltságdíj nyomán jönnek. A kutatók a Tajvanon, az Egyesült Királyságban és Chilében található szervezetek elleni támadásokról számolnak be. A ransomware új verziója állítólag továbbfejlesztett, többszálas titkosítást használ, és a terület egyik leggyorsabb titkosítási módszerével büszkélkedhet. Az is látszik, hogy a LockBit 2.0 csak a titkosított fájlok nagyon kis részét titkosítja, és minden fájl mindössze 4 kilobájtos darabját titkosítja, ami jelentősen felgyorsítja a folyamatot.
A LockBit mögött álló fenyegetésszereplő új társadalmi mérnöki taktikákkal is kísérletezik. A hackerek megpróbálnak kapcsolatba lépni a vállalat alkalmazottaival, és megvesztegetni őket az együttműködésre. Vannak olyan jelentések, amelyek szerint a rosszindulatú programok megváltoztatják az alkalmazottak háttérképét, és több millió dolláros hirdetést fizetnek ki a működő hitelesítő adatokért, amelyek lehetővé teszik a hackerek számára, hogy beszivárogjanak a célszervezetbe.
Miután a LockBit 2.0 megtalálta az utat a hálózaton, változatos eszköztár áll a rendelkezésére. Van egy hálózati szkenner, amely kiemeli a tartományvezérlőket, valamint a .bat fájlok tömbjét, amelyek számos feladat automatizálását tartalmazzák, beleértve az RDP engedélyezését, a rosszindulatú programok vagy biztonsági szoftverek leállítását és az eseménynaplók leöblítését a rosszindulatú programok minimalizálása érdekében lábnyom.
Az alapvető rutinok létrehozása után a LockBit oldalirányban kezd mozogni az áldozathálózaton, kezdve az új csoportos házirendek kiküldésével a csatlakoztatott eszközökhöz. Ezek a házirendek gondoskodnak a Windows Defender kikapcsolásáról, majd a hasznos terhelés elosztásáról és végrehajtásáról minden talált Windows -eszközön.
A titkosítás megtörténte után az asztali kép helyére a fent leírt toborzási üzenet, a szokásos váltságdíj -utasítások és a fenyegetés léphet fel, hogy a már titkosított fájlok nyilvánosságra kerülhetnek, ha a váltságdíjat nem fizetik ki.
A kutatók a LockBit 2.0 és más hírhedt ransomware -törzsek, például a Ryuk és az Egregor viselkedésében is felfedeztek némi hasonlóságot, jelezve legalább a kódok részleges átfedését.